2014-02-12
724
Защита снаружи, но не изнутри
Windows Firewall: защищаем внутренние ресурсы сети
Современные средства защиты корпоративных ресурсов от внешних угроз весьма разнообразны, существуют как аппаратные и программные межсетевые экраны (например, Cisco PIX, CheckPoint или Microsoft ISA), так и системы обнаружения вторжения, разбирающие проходящие пакеты до уровня приложений, а также шлюзовые антивирусы, фильтрующие определенный вид трафика. Все эти грозные и дорогостоящие средства защищают наши ресурсы от посягательств извне. Однако стоит оказаться внутри локальной сети компании, как тут же обнаруживается, что на большинстве пользовательских машин персональные межсетевые экраны или отключены, или работают в режиме разрешения всех входящих соединений. Такое положение вещей многие системные администраторы объясняют просто: «Нам нужен полный доступ к локальной машине пользователя, и у нас нет времени на настройку портов». Таким образом, получаем ситуацию, когда рабочие станции не защищены персональным межсетевым экраном и в случае если вредоносный код каким-либо образом сумеет проникнуть в локальную сеть, последствия могут оказаться весьма неприятными.
|
|
|
Проблему защиты рабочих станций можно решать с помощью различных средств. Например, многие корпоративные антивирусы имеют встроенный межсетевой экран, политики для которого можно задавать централизованно, но сегодня я продемонстрирую аналогичную защиту рабочих станций с помощью стандартных средств Windows, Active Directory и WSH. Сначала опишу, как автоматически установить firewall и задать соответствующие разрешения для машин, находящихся в домене, а затем, как проделать то же самое у пользователей, не входящих в домен, с помощью сценариев Windows Script Host.
Windows XP SP2 и Windows 2003 Server SP 1 автоматически включен и используется для защиты всех сетевых соединений, однако для того чтобы гарантировать запуск службы Firewall на машине пользователя, пропишем его в групповой политике. Предварительно необходимо все пользовательские машины, на которых предполагается включить firewall, поместить в отдельную организационную единицу (Organization Unit). Категорически не рекомендуется применять политики, о которых речь пойдет далее, ко всему домену, так как тогда они применются и к серверам, вследствие чего могут быть закрыты порты, необходимые для нормального функционирования клиент-серверных приложений. Итак, необходимая организационная единица создана, и пользовательские машины туда помещены. Теперь на контроллере домена откройте оснастку Active Directory Users And Computers, далее «Computer Management → Windows Settings → Security Settings → System Services → Windows Firewall». Включаем использование этого сервиса (Enable) и метод запуска автоматический (Startup Automatic) (см. рис. 1).
|
|
|
 |
Теперь в вашей сети на всех пользовательских машинах запущен сервис Windows Firewall. Следующим шагом укажите приложения и порты, к которым вы хотите разрешить доступ снаружи. К сожалению, версия персонального межсетевого экрана, входящая в состав Windows XP 2003, не позволяет блокировать исходящие соединения, только входящие, поэтому будет открываться доступ только снаружи внутрь.
